Diefstal en datalekken van vertrouwelijke patiëntgegevens zijn niet alleen in Nederland, maar in talloze andere landen, één van de meest voorkomende privacy-inbreuken. Dat komt niet alleen omdat de zorgsector in absolute zin omvangrijk is, en er veel mensen in werkzaam zijn, maar ook omdat de beveiligingsmaatregelen geen gelijke tred houden met de risico's. Het kost nauwelijks moeite om recente voorbeelden te vinden van gevallen waarbij gegevens van honderdduizenden of zelfs miljoenen patiënten op straat kwamen te liggen, bijvoorbeeld door inbraken in de e-mail omgeving van een ziekenhuis of een verkeerde instelling in een cloud-database.
Cybersecurity, de beveiliging van gevoelige data tegen verlies en diefstal door hackers, is voor de meeste zorgbestuurders geen inspirerend onderwerp. Investeringen in cybersecurity lijken vooral op een verzekering: je krijgt er geen betere zorg door, maar je dekt risico's af. Maar net als in andere sectoren neemt het belang van goede maatregelen bijna met de dag toe. De hoeveelheid zorgdata neemt exponentieel toe, IT-systemen worden steeds complexer. Maar vooral de sluwheid en de technische kennis van de aanvallers groeien in gelijk of zelfs sneller tempo mee. En daarnaast worden de consequenties van fouten door niet kwaadwillende medewerkers ook steeds groter. Terwijl de kenniskloof tussen bestuurders en toezichthouders enerzijds en IT-specialisten anderzijds op zijn zachtst gezegd niet kleiner word.
Specifieke problematiek van de zorgsector
Bovenstaande ontwikkeling is de belangrijkste aanleiding voor onze nieuwe tweedaagse SmartHealth masterclass Cybersecurity voor in de zorg. Een belangrijk deel van de toenemende complexiteit van cybersecurity is niet uniek voor de zorgsector. Ook banken, webwinkels, productiebedrijven en overheden worstelen met de toenemende afhankelijkheid van complexe IT-systemen, de explosie van data en de kwetsbaarheden die deze ontwikkeling met zich meebrengt. Hackers (steeds vaker werkend in opdracht van overheden) vormen een niet meer weg te denken factor in spionage, politieke manipulatie en als alternatief voor 'traditionele' criminaliteit.
De zorgsector heeft daarnaast te maken met nieuwe problemen. Op de eerste plaats is er een trend naar meer koppelingen en open systemen. Zorgaanbieders willen data uitwisselen, patiënten willen inzage in hun gegevens en gebruiken daarnaast steeds vaker apps om zorgdata op te slaan. De speciale status van medische data zorgt ervoor dat zorgprofessionals te maken hebben met eigen specifieke wetgeving en beroepsregels, die vaak strenger zijn dan voor minder gevoelige data. Thuismeten, behandelingen-op-afstand en patiëntportalen zijn inmiddels het experimenteer-stadium al lang ontgroeid. Bovendien wordt in de zorg op steeds grotere schaal gebruikt gemaakt van slimme, onderling verbonden medische apparaten, zoals scanners, meetapparatuur, laboratorium-apparaten en andere technologie waarin medische data wordt verwerkt of opgeslagen. Volgens een recent Amerikaans onderzoek is het voor een groot ziekenhuis niet ongebruikelijk om per kamer 3 tot 4 met een netwerk verbonden apparaten te hebben, los van de werkstations en servers die in gebruik zijn.
Cloud strategie
De zorgsector worstelt tegelijk met de overgang van eigen datacentra naar de cloud-omgevingen van aanbieders als Google, Amazon en Microsoft. Op het eerste gezicht lijkt er een eenduidige Europese wetgeving te zijn voor wat wel en niet mag, maar in de praktijk blijkt het voor bestuurders niet eenvoudig te zijn om een in de praktijk toepasbare uitleg te krijgen over wat wel en niet mag. Ook minister Bruins heeft geen kant-en-klare antwoorden, hij broedt nog op een brief hierover die hij naar de Tweede Kamer gaat sturen. De inspecties die toezicht moeten houden op de naleving van de regels hebben te maken met onderbezetting en werkdruk, maar stellen wel voorbeelden door individuele ziekenhuizen te controleren en ook te beboeten.
Bestuurders en toezichthouder hebben een kennisachterstand
Bestuurders en toezichthouders zijn wettelijk verplicht om op een gestructureerde manier risico's in te schatten en passende organisatorische maatregelen te nemen om digitale gegevens zo goed als mogelijk te beveiligen. Hoewel de verantwoordelijkheid bij hen ligt, moeten ze voor de uitvoering van die maatregelen vertrouwen op toeleveranciers en de eigen IT-afdeling. Vooral bij kleinere organisaties, zoals in de eerste lijn, ontbreekt zo'n afdeling vaak helemaal. Bij grotere zorgorganisaties is er doorgaans nog wel een Chief Information Security Officer, een Security Manager of een Data Privacy Officer die voor de schakel tussen het bestuur en het IT-landschap moet zorgen, maar in de praktijk blijft er vaak een brede kloof bestaan tussen bestuurders en de operationele uitvoerders van het cybersecurity-beleid. Externe adviseurs springen in de gaten, maar leveren niet altijd een structurele oplossing.
De nieuwe tweedaagse masterclass heeft als doelstelling om zorgbestuurders, toezichthouders en andere belanghebbenden met een verantwoordelijkheid voor informatiebeveiliging te informeren over de belangrijkste ontwikkelingen en trends op het brede terrein van cybersecurity in de zorg. De colleges bestrijken een aantal belangrijke gebieden, zoals wetgeving, de voornaamste risico's, de ontwikkelingen bij de leveranciers van technologie om data te beschermen, de werkwijze van hackers en de toepassing van normenkaders als NEN7510.
Meer informatie over de eerste editie van de masterclass, die op 31 oktober en 1 november van start gaat, vindt u hier.
Hopelijk is er ook aandacht voor alle cybersecurity aspecten bij de medische hulpmiddelen zelf, zowel in de thuis- als in de ziekenhuisomgeving, alsook vanuit de ondersteuning op afstand door de fabrikant. Het betreft dan zowel persoonlijke gegevensbeveiliging als toestelveiligheid en blijvende garantie van de essentiële performantie.